Credential Vault が ThousandEyes に統合

現在の分散環境では、モニタリングツールを運用する際に、ログイン情報の安全な取り扱いが問題になりがちです。エンジニアリングチームが模擬テストの範囲を拡大する場面で、静的で長期的に保存されているログイン情報を利用すると、セキュリティとコンプライアンスのオーバーヘッドが生じるからです。そこで本日、ThousandEyes では クレデンシャルロッカーの統合をリリースします。これにより、Cisco ThousandEyes プラットフォーム内でダイナミックかつリアルタイムにログイン情報を取得できるようになります。

課題：運用のスピードとセキュリティのバランスを取る

Cisco ThousandEyes を規制の厳しい環境に統合するには、これまで多くの場合、シスコのプラットフォーム内でログイン情報を直接管理する必要がありました。しかし多くの企業ユーザーにとって、これがコンプライアンス上の障壁となっていました。今回の統合により、エンジニアリングチームが抱える次のようなニーズを満たせます。

• 永続化を完全に排除： ThousandEyes インフラストラクチャ内に、機密性の高いログイン情報やパスワードが保存されることを完全に防ぎます。

• ダイナミックなライフサイクル管理： 最新のCI/CD およびセキュリティのベストプラクティスに沿った、短期間・ローテーション型のシークレットをサポートします。

• ガバナンスを一元化： シークレット管理を社内環境内に留められるため、監査の点で信頼できる唯一の情報源を得られます。

技術的なアプローチ

最初に対応するクレデンシャルロッカーは、RESTful 経由で自己ホストされた API ベースの CyberArk® Secrets Manager です。静的リポジトリから脱却し、テスト実行中にリアルタイムでログイン情報を取得可能になります。

テストがトリガーされると、お客様の環境で実行されている Enterprise Agent が Vault Access モジュール（te-vault-accessor）を使い、セキュアで認証された認証済みの呼び出しを行います。認証情報はリアルタイムで取得され、テストに使用されます。Cisco ThousandEyes のクラウドインフラストラクチャを経由したり、そこに保存されたりすることはありません。Vault Accessor モジュールは Enterprise Agent 上で実行され、エージェントの詳細設定からエージェント単位で有効化できます（注： Cloud Agent はクレデンシャルロッカーの統合に未対応です）。 これにより、機密データがインフラ内に保管され続ける事態を防げます。さらに今回の統合では、 テストごとのログイン情報のスコープ設定にも対応しているため、さまざまなモニタリングワークフローにきめ細かいアクセス制御を適用できます。

セキュリティ重視の設計

シークレット管理を専用クレデンシャルロッカーにオフロードすることは、「セキュリティバイデザイン」の原則に沿っています。この統合により、お客様は以下のことが可能になります。

1. セキュリティエクスポージャーを低減する： ログイン情報は、実行フェーズでメモリにのみ存在します。

2. コンプライアンスを合理化： シークレット管理を一元化することで、監査証跡とライフサイクル管理を簡素化できます。

3. 運用面での負担を最小化： 取得プロセスを自動化することで、静的認証の更新に伴う手動介入や人的エラーを削減できます。

今後の展望

今回のリリースは、安全で拡張性のあるモニタリングに対するシスコの取り組みを大きく下支えすることになります。

ワークフロー全体で Cisco ThousandEyes をより広範に運用することを検討しているチームにとって、サイロ化したテストから、完全に統合されたエンタープライズグレードのアシュアランス戦略に移行するためのセキュリティ態勢が整います。

シスコについて

シスコは、あらゆるものを安全に接続してあらゆることを可能にする、世界屈指のハイテク企業です。シスコではすべての人のためにインクルーシブな未来を実現することを目指し、お客様のアプリケーションの見直し、ハイブリッドワークの推進、企業セキュリティの確保、インフラの変革、サステナビリティ目標の達成を支援しています。その他の情報については、ニュースルームや Twitter でシスコ（@Cisco）をフォローしてご確認ください。

CyberArk および Secrets Manager は、CyberArk Software Ltd. の米国およびその他の国における商標または登録商標です。